用于安全的遠(yuǎn)程訪問的系統(tǒng)和方法
【技術(shù)領(lǐng)域】
[0001] 本公開主要涉及通信安全,尤其涉及的是用于安全的遠(yuǎn)程訪問的系統(tǒng)和方法�����。
【背景技術(shù)】
[0002] 監(jiān)視和診斷(M&D)中心可以為發(fā)電站及其他資產(chǎn)提供諸如服務(wù)�����。此類服務(wù)可以包 括資產(chǎn)監(jiān)視���、事件追蹤�、跳閘事件報告���、根本原因分類���、事故停電檢測、以及帶有針對站點的 各種建議的診斷和報告�。通過分析,可以推導(dǎo)出原始工作數(shù)據(jù)和后期處理數(shù)據(jù)���,并且不同 的工程團(tuán)隊可以使用這些數(shù)據(jù)來執(zhí)行性能及可靠性研宄��、保修期間支持以及工程研宄和開 發(fā)�����。
[0003] 然而��,龐大的現(xiàn)有發(fā)電站集合需要相對安全的文件傳輸��,并且提出了新的需求����。很 多站點需要符合北美電力可靠性公司(NERC)或其他監(jiān)管安全需求以及其他通信安全挑 戰(zhàn)���。此外�,這其中的很多站點只具有帶寬有限的連接以及較不穩(wěn)定或者在其他方面不夠可 靠的鏈路�����。
[0004] 通常,現(xiàn)場監(jiān)視是在發(fā)電站基礎(chǔ)設(shè)施內(nèi)部進(jìn)行的?��,F(xiàn)場網(wǎng)絡(luò)通常會受防火墻以及 位于發(fā)電站邊緣的代理的保護(hù)�,其中所述防火墻和代理可以阻止進(jìn)入連接��,由此迫使現(xiàn)場 監(jiān)視不可路由�����。而且�����,防火墻通常還會阻塞所有標(biāo)準(zhǔn)的雙向TCP/HTTP通信端口��,從而確保 系統(tǒng)安全性���。另外�����,為了向執(zhí)行監(jiān)視和診斷的用戶提供遠(yuǎn)程訪問現(xiàn)場監(jiān)視處理以及執(zhí)行某 些管理和營運(yùn)任務(wù)的能力��,同樣需要安全的遠(yuǎn)程訪問��。
[0005] 當(dāng)前的通信通常需要基于雙向通信端口的方案��,并且當(dāng)前的數(shù)據(jù)傳輸技術(shù)通常無 法適當(dāng)處理撥號或低帶寬網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)(例如大量的等待時間���,壓力狀況下的帶寬管理)。 此外也沒有提供單向的通用文件傳輸解決方案����。
[0006] 為了滿足新的以及日益增長的客戶安全性需求,需要具有相對安全的文件傳輸解 決方案�����,以便提供用于在現(xiàn)場監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ)設(shè)施之間傳輸數(shù)據(jù)的安全數(shù) 據(jù)傳輸��。對于符合NERC或其他監(jiān)管安全需求以及其他通信安全挑戰(zhàn)的只具有有限帶寬的 連接以及較不穩(wěn)定或者在其他方面不夠可靠的鏈路的現(xiàn)場監(jiān)視站點來說�����,有必要部署安全 的文件傳輸套件來為其提供支持�。
【發(fā)明內(nèi)容】
[0007] 本發(fā)明的某些實施例可以解決以上的一些或所有需求。根據(jù)一例示實施例�����,所公 開的是一種用于封裝遠(yuǎn)程訪問會話數(shù)據(jù)的方法。該方法可以包括:從終端用戶計算機(jī)接收 關(guān)于遠(yuǎn)程連接至位于防火墻之后的現(xiàn)場系統(tǒng)的請求��,其中該防火墻阻止進(jìn)入連接���。該方法 還可以包括:中央系統(tǒng)在對來自現(xiàn)場系統(tǒng)的先前消息回復(fù)中發(fā)起會話請求消息���,在現(xiàn)場系 統(tǒng)與遠(yuǎn)程連接服務(wù)器之間建立連接,現(xiàn)場系統(tǒng)在中央系統(tǒng)打開安全隧道�����,所述現(xiàn)場系統(tǒng)加 密用于傳送的數(shù)據(jù)�,現(xiàn)場系統(tǒng)完成驗證過程,在終端用戶計算機(jī)與現(xiàn)場系統(tǒng)之間建立連接����, 以及將數(shù)據(jù)從中央系統(tǒng)傳輸?shù)浆F(xiàn)場系統(tǒng)。
[0008] 在另一實施例中�,所公開的是一種用于封裝遠(yuǎn)程訪問會話數(shù)據(jù)的系統(tǒng)。該系統(tǒng)可 以包括:中央系統(tǒng)�����,其可操作以從終端用戶計算機(jī)接收關(guān)于遠(yuǎn)程連接到位于防火墻之后的 現(xiàn)場系統(tǒng)的請求,其中該防火墻阻止進(jìn)入連接���。與現(xiàn)場系統(tǒng)通信的中央系統(tǒng)可操作以在對 來自現(xiàn)場系統(tǒng)的先前消息回復(fù)中發(fā)起會話請求消息?��,F(xiàn)場系統(tǒng)可操作以連接到遠(yuǎn)程桌面服 務(wù)器,打開連接到中央系統(tǒng)的安全隧道���,對用于傳送至中央系統(tǒng)的數(shù)據(jù)進(jìn)行加密,完成驗證 過程��,以及將數(shù)據(jù)傳送到中央系統(tǒng)�����。
[0009] 在另一實施例中��,所公開的是一種包含指令的非暫時性計算機(jī)可讀媒體�,其中在 被一個或多個處理器運(yùn)行時,所述指令可以從終端用戶計算機(jī)接收關(guān)于遠(yuǎn)程連接到位于防 火墻之后的現(xiàn)場系統(tǒng)的請求���,其中該防火墻阻止進(jìn)入連接��,在對來自現(xiàn)場系統(tǒng)的先前消息 回復(fù)中發(fā)起會話請求消息��,在現(xiàn)場系統(tǒng)與遠(yuǎn)程連接服務(wù)器之間建立連接�����,由現(xiàn)場系統(tǒng)在中 央系統(tǒng)打開安全隧道�����,對用于傳送的數(shù)據(jù)進(jìn)行加密�����,由現(xiàn)場系統(tǒng)完成驗證過程�,在終端用戶 計算機(jī)與現(xiàn)場系統(tǒng)之間建立連接,以及將數(shù)據(jù)從中央系統(tǒng)傳輸?shù)浆F(xiàn)場系統(tǒng)��。
[0010] 在這里還詳細(xì)描述了本公開的其他實施例���、特征和方面�����,并且將其認(rèn)為是請求保 護(hù)的本公開的一部分���。通過參考以下的具體實施當(dāng)時��、附圖以及權(quán)利要求����,可以理解所述其 他實施例����、特征和方面。
【附圖說明】
[0011] 現(xiàn)在將參考附圖��,其中所述附圖不必按比例繪制����,并且其中:
[0012] 圖1是根據(jù)本公開實施例的用于提供在現(xiàn)場監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ)設(shè) 施之間傳輸數(shù)據(jù)的安全數(shù)據(jù)傳輸?shù)睦鞠到y(tǒng)架構(gòu)的示意性框圖�。
[0013] 圖2示出的是根據(jù)本公開實施例的例示現(xiàn)場監(jiān)視系統(tǒng)的示意性框圖。
[0014] 圖3示出的是根據(jù)本公開實施例的例示中央監(jiān)視和診斷基礎(chǔ)設(shè)施的示意性框圖���。
[0015] 圖4示出的是根據(jù)本公開實施例的例示現(xiàn)場監(jiān)視系統(tǒng)的功能框圖�。
[0016] 圖5是示出了根據(jù)本公開實施例的用于在現(xiàn)場監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ) 設(shè)施之間對數(shù)據(jù)執(zhí)行的例示安全文件上傳處理的流程圖���。
[0017] 圖6是示出了根據(jù)本公開實施例的用于在現(xiàn)場監(jiān)視系統(tǒng)與中央監(jiān)視和診斷基礎(chǔ) 設(shè)施之間對數(shù)據(jù)執(zhí)行的例示安全文件下載處理的流程圖�。
[0018] 圖7是示出了針對現(xiàn)場監(jiān)視系統(tǒng)的例示安全遠(yuǎn)程訪問的流程圖。
【具體實施方式】
[0019] 以下將參考附圖來更全面地描述本公開的例示實施例�����,其中所述附圖顯示了一些 但并非所有實施例�。實際上,本公開可以采用多種不同的方式實施�����,并且不應(yīng)被解釋成僅限 于這里闡述的實施例����;相反,這些實施例是為使本公開滿足適當(dāng)?shù)姆梢惶峁┑?���。?同的參考數(shù)字始終標(biāo)引的是相同的部件。
[0020] 為了實現(xiàn)支持關(guān)于發(fā)電站的現(xiàn)場監(jiān)視處理的安全遠(yuǎn)程文件傳輸���,目前業(yè)已開發(fā)出 結(jié)合了不同硬件�、軟件和聯(lián)網(wǎng)技術(shù)的新的基礎(chǔ)設(shè)施��。本公開的某些實施例具有能以異步���、面 向服務(wù)的方式來從位于現(xiàn)場監(jiān)視系統(tǒng)的存儲庫中提取數(shù)據(jù)以及將數(shù)據(jù)傳輸至中央存儲庫 以進(jìn)行分析的技術(shù)效果����。本公開的某些實施例的另一技術(shù)效果是允許在中央監(jiān)視和診斷基 礎(chǔ)設(shè)施中的指定服務(wù)器與現(xiàn)場監(jiān)視系統(tǒng)之間執(zhí)行異步、并行��、同時的文件下載和上傳處理�, 并且同時還提供了安全的動態(tài)服務(wù)保證以及可靠性特征。本公開的其他實施例可以具有能 對現(xiàn)場監(jiān)視系統(tǒng)進(jìn)行安全的遠(yuǎn)程訪問以及能夠執(zhí)行某些營運(yùn)和管理任務(wù)的技術(shù)效果�。
[0021] 參考附圖1,該圖顯示的是用于在現(xiàn)場監(jiān)視系統(tǒng)110與中央監(jiān)視和診斷基礎(chǔ)設(shè)施 之間提供用于傳輸數(shù)據(jù)的安全數(shù)據(jù)傳輸?shù)睦鞠到y(tǒng)架構(gòu)100的示意性框圖���。
[0022] 現(xiàn)場監(jiān)視系統(tǒng)110可以使用具有各種連網(wǎng)絡(luò)能力且基于Windows?的平臺102 (通 常是高計算服務(wù)器)來實施��,并且該系統(tǒng)可被配置在位于公司防火墻108之后的發(fā)電站上����。 現(xiàn)場網(wǎng)絡(luò)106可以受防火墻108以及位于發(fā)電站邊緣的代理104的保護(hù)���,其中所述防火墻 和代理會阻止進(jìn)入連接,并且由此迫使現(xiàn)場監(jiān)視是不可路由的�����。此外,防火墻108還會阻塞 所有標(biāo)準(zhǔn)的雙向TCP/HTTP通信端口����。
[0023] 該現(xiàn)場監(jiān)視的安全遠(yuǎn)程訪問解決方案可以為執(zhí)行監(jiān)視和診斷的用戶119、134提 供安全地遠(yuǎn)程訪問現(xiàn)場監(jiān)視系統(tǒng)110以及執(zhí)行某些營運(yùn)或管理任務(wù)的能力�。通信安全性可 以是通過集成HTTPS/TLS協(xié)議棧以及名為智能代理的定制軟件包來提供的。
[0024] 使用中央系統(tǒng)內(nèi)聯(lián)網(wǎng)114的用戶119或與外部因特網(wǎng)130相連的遠(yuǎn)端用戶134可 以與遠(yuǎn)程企業(yè)服務(wù)器118建立連接遠(yuǎn)程企業(yè)服務(wù)器118可以與企業(yè)隧道服務(wù)器116建立連 接���。由此�,用戶119����、134可以建立由連接到現(xiàn)場監(jiān)視系統(tǒng)110的用戶發(fā)起的遠(yuǎn)程桌面協(xié)議 (RDP)會話。通過使用基于TLS/SSL的隧道化方法來封裝遠(yuǎn)程訪問會話數(shù)據(jù)�,,可以提供通 信安全性�。
[0025] M&D用戶119或遠(yuǎn)程用戶134可以請求與現(xiàn)場監(jiān)視系統(tǒng)110的RDP連接。由于業(yè) 務(wù)端口 443是單向的(僅僅打開外出方向)��,因此�,代理服務(wù)器116可以在對來自位于現(xiàn)場 監(jiān)視系統(tǒng)110內(nèi)部的服務(wù)器上的智能代理102的任何先前消息回復(fù)中發(fā)起RDP會話請求消 息。然后�,智能代理102可以連接到現(xiàn)場監(jiān)視系統(tǒng)內(nèi)部的RDP模塊。